Pular para o conteúdo principal

Instalando um certificado de servidor assinado externamente confiável XClarity Orchestrator

É possível usar um certificado do servidor assinado confiável por uma autoridade de certificação (CA) privada ou comercial. Para usar um certificado de servidor assinado externamente, gere uma solicitação de assinatura de certificado (CSR) e, em seguida, importe o certificado do servidor resultante para substituir o existente.

Sobre esta tarefa

Como prática recomendada, sempre use certificados assinados v3.

O certificado de servidor assinado externamente deve ser criado a partir da solicitação de assinatura de certificado que foi gerada mais recentemente usando o botão Gerar Arquivo CSR.

O conteúdo do certificado de servidor assinado externamente deve ser um pacote de certificados que contém a cadeia de assinatura de CA inteira, incluindo o certificado raiz da CA, os certificados intermediários e o certificado do servidor.

Se o novo certificado de servidor não tiver sido assinado por terceiros confiáveis, na próxima vez que você se conectar ao XClarity Orchestrator, o navegador da Web exibirá uma mensagem de segurança e uma caixa de diálogo solicitando a aceitação do novo certificado no navegador. Para evitar mensagens de segurança, é possível importar o certificado do servidor para a lista de certificados confiáveis do seu navegador da Web (consulte Importando o certificado do servidor em um navegador da Web).

O XClarity Orchestrator começa a usar o novo certificado do servidor sem encerrar a sessão atual. As novas sessões são estabelecidas usando o novo certificado. Para usar o novo certificado em uso, reinicie seu navegador da Web.

Importante
Quando o certificado do servidor for modificado, todas as sessões do usuário estabelecidas deverão aceitar o novo certificado clicando em CTRL + F5 para atualizar o navegador da Web e restabelecer a conexão com o XClarity Orchestrator.

Procedimento

Para gerar e instalar um certificado de servidor assinado externamente, conclua as seguintes etapas.

  1. Crie uma solicitação de assinatura de certificado e salve o arquivo no sistema local.
    1. Na barra de menus do XClarity Orchestrator, clique em Administração (Ícone de Administração) > Segurança e, em seguida, clique em Certificado do Servidor na navegação esquerda para exibir a placa Gerar solicitação de assinatura de certificado.
      Cartão Gerar Solicitação de Assinatura de Certificado (CSR)
    2. Na placa Gerar Solicitação de Assinatura de Certificado (CSR), preencha os campos da solicitação.
      • Código ISO 3166 de duas letras para o país ou a região de origem associado à organização do certificado (por exemplo, EUA para os Estados Unidos).
      • Nome completo do Estado ou da província a ser associado ao certificado (por exemplo, Califórnia ou New Brunswick).
      • Nome completo da cidade a ser associada ao certificado (por exemplo, San Jose). O tamanho do valor não pode exceder 50 caracteres.
      • Organização (empresa) que deve ser proprietária do certificado. Normalmente, esse é o nome da pessoa jurídica da empresa. Ele deve incluir todos os sufixos, como Ltd., Inc. ou Corp (por exemplo, ACME International Ltd.). O tamanho desse valor não pode exceder 60 caracteres.
      • (Opcional) Unidade organizacional que deve ser proprietária do certificado (por exemplo, Divisão ABC). O tamanho desse valor não pode exceder 60 caracteres.
      • Nome comum do proprietário do certificado. Este deve ser o nome do host do servidor que está usando o certificado. O tamanho desse valor não pode exceder 63 caracteres.
      • (Opcional) Sujeito a nomes alternativos de assunto que serão adicionados à extensão X.509 "subjectAltName" quando a CSR for gerada.

        Por padrão, XClarity Orchestrator define automaticamente os nomes alternativos de assunto para a CSR com base no endereço IP e no nome do host que são descobertos pelas interfaces de rede do sistema operacional convidado XClarity Orchestrator. Você pode personalizar, excluir ou adicionar esses valores de nome alternativo de assunto. Entretanto, os nomes alternativos de assunto devem ter o nome de domínio (FQDN) ou o endereço IP totalmente qualificado do servidor, e o nome do assunto deve ser definido como FQDN.

        O nome especificado deve ser válido para o tipo selecionado.
        • DNS (use o FQDN, por exemplo, hostname.labs.company.com)
        • Endereço IP (por exemplo, 192.0.2.0)
        • email (por exemplo, example@company.com)
        Nota
        Todos os nomes alternativos de assunto listados na tabela serão validados, salvos e adicionados à CSR apenas depois que você gerar a CSR na próxima etapa.
  2. Forneça a CSR para uma autoridade de certificação (CA) confiável. A CA assina a CSR e retorna um certificado de servidor.
  3. Importe o certificado de servidor assinado externamente e o certificado da CA XClarity Orchestrator e substitua o certificado do servidor atual.
    1. Na placa Gerar Solicitação de Assinatura de Certificado (CSR), clique em Importar Certificado para exibir a caixa de diálogo Importar Certificado.
    2. Copie e cole o certificado do servidor e o certificado da CA em formato PEM. Você deve fornecer a cadeia de certificados inteira, começando com o certificado do servidor e terminando no certificado da CA raiz.
    3. Clique em Importar para armazenar o certificado do servidor no armazenamento confiável XClarity Orchestrator.
  4. Aceite o novo certificado pressionando CTRL + F5 para atualizar o navegador e, em seguida, restabeleça a conexão com a interface da Web. Isso deve ser feito por todas as sessões do usuário estabelecidas.